スポンサーリンク
OWASP Top 10の基本概念と最新動向

【実務・中級編】セッション固定攻撃を防ぐためのログイン後のセッションID再生成 – アプリケーションセキュリティ & 安全な開発防御ガイド

認証の「通過儀礼」を忘れるな:セッション固定攻撃を根絶するセッション再生成の技術現場でコードレビューをしていると、未だに「認証さえ通ればあとは安全」という甘い認識に足をすくわれるケースをよく目にする。特に、認証の前後でセッションIDを使い回...
OWASP Top 10の基本概念と最新動向

【入門編】セッション固定攻撃を防ぐためのログイン後のセッションID再生成 – アプリケーションセキュリティ & 安全な開発防御ガイド

玄関の鍵を渡す「ふり」をする泥棒?セッション固定攻撃の正体こんにちは。セキュリティの世界に足を踏み入れた皆さん、ようこそ。今日は、Webアプリ開発の現場で「絶対に忘れてはいけない」基本中の基本、セッション固定攻撃(Session Fixat...
OWASP Top 10の基本概念と最新動向

【テクニカル・上級編】OAuth 2.0におけるリダイレクトURIの厳密な検証とオープンリダイレクト対策 – アプリケーションセキュリティ & 安全な開発防御ガイド

認可コードの「通り道」を塞げ:OAuth 2.0 リダイレクトURI検証の深淵OAuth 2.0は、現代のID基盤の要石だが、その仕様の柔軟さが裏目に出るケースが後を絶たない。特に、認可コードフローにおけるリダイレクトURIの検証不備は、単...
OWASP Top 10の基本概念と最新動向

【実務・中級編】OAuth 2.0におけるリダイレクトURIの厳密な検証とオープンリダイレクト対策 – アプリケーションセキュリティ & 安全な開発防御ガイド

OAuth 2.0の「リダイレクトURI」を甘く見るな――その一行の妥協が、ユーザーを地獄へ引きずり込むエンジニア諸君、今日もセキュアなコードを書いてるか?「OAuth 2.0の実装なんてライブラリを使えば一発だよ」なんて考えているなら、今...
OWASP Top 10の基本概念と最新動向

【入門編】OAuth 2.0におけるリダイレクトURIの厳密な検証とオープンリダイレクト対策 – アプリケーションセキュリティ & 安全な開発防御ガイド

玄関の鍵を「だいたい合っていればOK」にしていませんか?OAuthの「リダイレクトURI」で絶対に守るべき鉄則こんにちは。セキュリティの現場で日々、泥臭いインシデントと格闘しているエンジニアです。今日は、OAuth 2.0という「便利な鍵の...
OWASP Top 10の基本概念と最新動向

【テクニカル・上級編】Deserialization脆弱性(不安全なデシリアライズ)の仕組みと防御策 – アプリケーションセキュリティ & 安全な開発防御ガイド

不安全なデシリアライズ:バイトストリームに潜む「実行可能な毒」の解剖学アプリケーションセキュリティの深淵を覗くとき、私たちはしばしば「信頼境界」の脆さに直面する。OWASP Top 10の常連でありながら、いまだに多くのエンタープライズシス...
OWASP Top 10の基本概念と最新動向

【実務・中級編】Deserialization脆弱性(不安全なデシリアライズ)の仕組みと防御策 – アプリケーションセキュリティ & 安全な開発防御ガイド

なぜ「デシリアライズ」はエンジニアを破滅させるのか? ― 現場で語られない真実やあ。今日も本番環境のログと睨めっこしているか? アプリケーションセキュリティの現場で、最も「静かに、だが確実に」システムを終わらせる脆弱性、それが不安全なデシリ...
OWASP Top 10の基本概念と最新動向

【入門編】Deserialization脆弱性(不安全なデシリアライズ)の仕組みと防御策 – アプリケーションセキュリティ & 安全な開発防御ガイド

悪魔の招待状を見抜く:不安全なデシリアライズという「見えない侵入」の正体こんにちは!現場で泥臭いインシデント対応を続けていると、たまに「なぜそんなところから?」と首を傾げたくなるような攻撃に出くわします。その代表格が、今回お話しする「不安全...
OWASP Top 10の基本概念と最新動向

【テクニカル・上級編】SSRF(サーバーサイドリクエストフォージェリ)を防ぐためのURLバリデーションと許可リスト – アプリケーションセキュリティ & 安全な開発防御ガイド

SSRFの深淵:なぜ「バリデーション」は常に裏切られるのかSSRF(Server-Side Request Forgery)は、単なる「URLのバリデーション漏れ」ではない。それは、アプリケーションのサーバーを、攻撃者が遠隔操作するための「...
OWASP Top 10の基本概念と最新動向

【実務・中級編】SSRF(サーバーサイドリクエストフォージェリ)を防ぐためのURLバリデーションと許可リスト – アプリケーションセキュリティ & 安全な開発防御ガイド

SSRFの恐怖:なぜ「URLのバリデーション」だけでは不十分なのか現場でインシデント対応をしていると、開発者が「URLを正規表現でチェックしているから大丈夫」と胸を張る場面によく遭遇する。だが、残念ながらその認識こそが、攻撃者の格好の餌食に...
スポンサーリンク